Руслан Вагизов:
ИТ-аутсорсинг идет в банки
Профессиональный ИТ-аутсорсинг безопасно, быстро и качественно обеспечит работу по поддержке ИТ-инфраструктуры даже в таком консервативном бизнесе, как банки. Опытная команда может бесперебойно поставлять сервис в течение 24 часов каждый день. При этом у банка появляются дополнительные свободные финансовые, временные и человеческие ресурсы для развития новых сервисов или усиления существующих проектов. Какие конкретные выгоды для банка может принести ИТ-аутсорсинг, как совместить информационную безопасность и удобство, а также повысить эффективность работы банка, применяя мировые стандарты, расскажет эксперт по производству и поставке услуг ИТ-аутсорсинга для европейских и российских заказчиков – исполнительный директор компании ICL Services Руслан Вагизов.
CNews: Пожалуй, самый актуальный и острый вопрос, который сегодня стоит перед руководством любого банка при планировании перехода на ИТ-аутсорсинг, – обеспечение информационной безопасности. Как решается эта проблема на практике?
Руслан Вагизов: ИТ-аутсорсинг приносит компании много плюсов, а все вопросы информационной безопасности решаемы. Это показывает многолетний опыт нашей работы как с небольшими банками, так и крупными заказчиками.
Если банк решает передать аутсорсеру такие операции, как поддержка рабочих станций, сервис-деск, мониторинг ИТ-инфраструктуры, то риски небольшие. Они минимизируются с помощью стандартных средств безопасности. Это, например, ограничение доступа к важной банковской информации (критичным серверам и приложениям), внедрение средств контроля доступа (единая точка входа, двухфакторная аутентификация, журналы регистрации) и защита каналов связи (VPN). Если речь идет о передаче на аутсорсинг таких критичных систем, как АБС или CRM, которые обрабатывают информацию, составляющую банковскую, коммерческую тайну или персональные данные клиентов, то требования к безопасности значительно возрастают. Возможная утечка подобной информации – это очень высокий риск для банка, как с точки зрения последствий для бизнеса и репутации, так и с позиции нарушения требований законодательства и нормативных актов. Напомню, что в области информационной безопасности банковскую деятельность регулируют различные законы и нормативные акты, включая в том числе ФЗ «О банках и банковской деятельности и «О национальной платежной системе», Положения Банка России 382-П и 379-П, а также общегражданские Федеральные законы «О персональных данных» и «О коммерческой тайне». Однако даже такие сложные задачи сегодня находят решение при условии высокой зрелости процессов банка и должного качества услуг, предоставляемых ИТ-аутсорсером.
Требования к аутсорсеру
CNews: Какие основные требования предъявляет банк к ИТ-аутсорсеру?
Руслан Вагизов: Банковская сфера более щепетильно, чем любой другой бизнес, относится к соблюдению требований информационной безопасности. Большинство профессиональных аутсорсеров готово к этому и имеет действующий сертификат соответствия стандарту ISO/IEC 27001, который гарантирует заказчику исполнение базовых требований безопасности, а также его способность управлять рисками ИБ на системной и регулярной основе.
Советы профессионала
- Оцените готовность банка к ИТ-аутсорсингу
- Определите риски
- Подберите адекватные меры по снижению рисков
- Оцените уровень зрелости управленческих и технологических процессов банка
- Составьте четкое соглашение об уровне предоставления услуг (SLA)
- Предусмотрите порядок пересмотра условий, указанных в SLA, согласно изменениям в бизнесе банка
- Выберите надежную компанию-аутсорсера
В работе с одним из ведущих европейских банков мы использовали предложенную заказчиком двухфакторную аутентификацию для доступа в его инфраструктуру (Citrix XenApp + RSA tokens). Также заказчик проводил мониторинг и аудит всех действий сотрудников на критически важных системах. ICL Services как подрядчик обеспечил проведение регулярных аудитов информационной безопасности, как самим банком, так и независимыми организациями, такими, как BSI.
Одним из основных требований банков является соблюдение конфиденциальности в процессе исполнения договора, а также в течение согласованного срока после его окончания (запрет на разглашение содержания документов и информации любого характера – экономического, технического, коммерческого и т.д.). Что касается требований компании-аутсорсера, то среди них можно выделить наличие начальных процессов управления инцидентами и проблемами, использование в работе ITSM-приложения, а также определенный уровень зрелости управленческих и технологических процессов (мониторинг и оценка эффективности процессов ИБ, четкое распределение ответственности, механизм оперативного оповещения об инцидентах), позволяющий сформировать и эффективно управлять процессом предоставления сервиса.
Зачастую при заключении договора появляются и другие требования. Поэтому процесс формирования партнерских отношений может занять длительное время. Ведь заказчик хочет убедиться в возможностях и компетенциях аутсорсера с учетом планируемых долгосрочных отношений. Мы, в свою очередь, должны понимать основные задачи, которые стоят перед финансовой организацией. Целеполагание поможет нам совместно с банком сформировать оптимально эффективную модель его ИТ-инфраструктуры, отвечающую требованиям высококонкурентного банковского рынка.
CNews: Какая выгода ждет банк при переходе на ИТ-аутсорсинг?
Руслан Вагизов: Главное, что получит банк от перехода на ИТ-аутсорсинг, – это возможность сконцентрировать основные усилия на профильном бизнесе, не выполняя поддерживающие функции. Аутсорсинг дает возможность снизить стоимость владения и сопровождения ИТ-инфраструктуры, тем самым уменьшая себестоимость той или иной банковской услуги.
Можно говорить об ощутимом снижении затрат на обслуживание ИТ-инфраструктуры банка и повышении ее стабильности. На практике за счет внедрения проактивного мониторинга в одном из банков нашей компании удалось снизить количество инцидентов высокого приоритета в 10 раз до 1–2 в месяц.
Банки, только начинающие работать с аутсорсерами,
получат свежий взгляд на организацию предоставления ИТ-услуг. Конечно, крайне
сложно моментально изменить ситуацию: наладить работу сервис-деск,
функционирование ITSM, но, по крайней мере, часто удается сформировать у
заказчика хорошее представление о современных подходах к организации
эффективного сервиса и предоставить возможность постоянного доступа к
технической экспертизе, которой нет у самого банка.
Так, после передачи сервиса поддержки СУБД и Unix-систем одного из банков на поддержку нашей команде, производительность бизнес-критического приложения начала рассматриваться через призму проблем недостаточной мощности серверов и СХД, а не столько через проблему в работе СУБД. Найти другой подход к решению данного вопроса удалось с помощью сертифицированных специалистов нашей компании по СХД, использующейся в банке.
Экономическая эффективность
CNews: Можно ли посчитать эффективность перехода банка на ИТ-аутсорсинг?
Руслан Вагизов: Экономия – это одна из возможностей аутсорсинга. Чтобы эту возможность реализовать, надо поставить корректную и, что важно, достижимую цель экономического эффекта. Этот показатель нужно рассчитать заранее, еще перед обращением к компании-аутсорсеру. Важно учитывать не только прямые затраты на заработную плату ИТ-специалистов, а включать в расчет полный спектр прямых и косвенных затрат: стоимость рабочих мест (включая площади), затраты на поиск и подбор персонала, его обучение и развитие. А также множество других параметров, которые компании зачастую упускают при определении себестоимости владения ИТ-службой, среди них – затраты на управление рисками, организацию, коммуникации, инфраструктуру.
В дальнейшем данные, полученные в результате экономического анализа, используются при расчете стоимости сервиса, подбираются соответствующие уровни обслуживания, оптимизируется состав работ для удовлетворения потребностей в качестве и стоимости сервиса. Все это фиксируется в договоре, и заказчик получает прозрачную и гибкую ценовую модель, которая позволяет легко прогнозировать расходы. Кроме того, в контракте часто фиксируется такой механизм, как productivity gain, позволяющий снижать стоимость сервиса в каждый следующий год обслуживания.
ICL Services оказывает помощь в проведении экономического анализа, так как заказчик не всегда способен самостоятельно произвести правильные расчеты. И, опираясь на наш опыт, можно утверждать, что переход на ИТ-аутсорсинг несет выгоду, в том числе и с экономической точки зрения.
CNews: Если ИТ-аутсорсинг несет экономическую выгоду банку, что сдерживает заказчиков от передачи процессов и функций ИТ на аутсорсинг?
Руслан Вагизов: Если говорить о российской специфике ведения бизнеса, то снижение затрат на поддержку ИТ-инфраструктуры не всегда является ключевой целью при принятии решения о переходе на аутсорсинг. Сдерживающим фактором является боязнь потери части персонала, а также незнание технологических новинок и их удобства для функционирования систем банка.
Руслан Вагизов: Экономия – это одна из возможностей аутсорсинга
Нам приходилось сталкиваться с жесткой политикой информационной безопасности банков. Например, накладывались ограничения на передачу некоторых компонентов ИТ-инфраструктуры. Случается и такое, что ИТ-аутсорсинг полностью запрещен системой безопасности. У заказчиков часто присутствует страх потери контроля над деятельностью ИТ-подразделения. Помимо прочего, руководство банка может полностью устраивать уровень зрелости собственного ИТ-подразделения как по цене, так и по качеству, поэтому острой необходимости в передаче сервисов аутсорсеру у них нет.
CNews: Банкам какого масштаба наиболее выгоден переход на ИТ-аутсорсинг?
Руслан Вагизов: Все компании без исключения могут рассматривать ИТ-аутсорсинг, как эффективную замену локальному ИТ-сервису. Но для перехода необходимо предварительно оценить зрелость: понять главные процессы управления ИТ-услугами, сформулировать конкретные и выполнимые цели преобразований, а также ответить на вопрос: удовлетворяет ли вас текущее управление ИТ-потребностями в компании?
На практике, к ИТ-аутсорсингу чаще всего обращаются крупные банки, имеющие большое количество филиалов. Они отдают на аутсорсинг ИТ-сферу полностью или частично, поддерживая остальную часть собственными силами. Модель «частичной передачи», по которой в настоящий момент и работает ICL Services с большинством заказчиков из банковского сектора, позволяет наглядно сопоставить преимущества и недостатки работы внутреннего ИТ-департамента банка и аутсорсера.
CNews: Работа банка всегда связана с необходимостью предоставлять быстрый и качественный сервис в каждом из офисов. Как решается этот вопрос в случае с их широкой территориальной распределенностью?
Руслан Вагизов: Географическая удаленность филиалов и дополнительных офисов банков сегодня не играет роли при управлении единой ИТ-инфраструктурой, поскольку большинство операций по обслуживанию выполняется удаленно через защищенную корпоративную сеть передачи данных. На техническом уровне скорость доступа к данным и системам может быть повышена с использованием WAN оптимизаторов, распределенной DFS структуры для хранения файлов, локальных кэширующих серверов/прокси. Что касается скорости предоставления сервиса и уменьшения времени на решение задач, то этот вопрос можно решить за счет оптимизации инфраструктуры и внедрения стандартных процессов ITSM, по которым ведется работа.
CNews: Что вы можете посоветовать банкам перед переходом на ИТ-аутсорсинг?
Руслан Вагизов: Работая на международном рынке ИТ-аутсорсинга с 2006 года, мы можем утверждать, что решение о передаче на аутсорсинг внутренних ИТ-сервисов банка, как и любой другой организации, связано с серьезным пересмотром устоявшихся политик безопасности и ключевых понятий, таких как «Периметр информационной безопасности». Банку необходимо четко понимать риски ИТ-аутсорсинга и выбирать адекватные меры по их снижению, используя современные стандарты и лучшие практики управления безопасностью. Отношения с ИТ-аутсорсером должны быть четко регламентированы соглашением об уровне предоставления услуг (SLA). При этом необходимо предусмотреть порядок пересмотра указанных в SLA условий с целью их актуализации с учетом изменений в технологиях и бизнесе банка.
Это позволит снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также советуем оценить готовность банка, уровень зрелости управленческих и технологических процессов и выбрать опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру.